首页
课程
问答
CTF
社区
招聘
看雪峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
看雪峰会
看雪商城
证书查询
看雪社区
经典问答
发新帖
1
0
一个进程保护类似防火墙的程序
2016-5-18 09:21
13334
一个进程保护类似防火墙的程序
靴子
2016-5-18 09:21
13334
已经解决!感谢goddkiller!
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
收藏
・
1
点赞
・
0
打赏
分享
分享到微信
分享到QQ
分享到微博
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
最新回复
(
12
)
pxhb
雪 币:
5968
活跃值:
(3885)
能力值:
( LV7,RANK:110 )
在线值:
发帖
10
回帖
422
粉丝
16
关注
私信
pxhb
2
2016-5-18 09:37
2
楼
0
用xuetr看了下,应该是hook了联网的相关api connect这些
靴子
雪 币:
22
活跃值:
(423)
能力值:
( LV2,RANK:10 )
在线值:
发帖
20
回帖
524
粉丝
1
关注
私信
靴子
2016-5-18 09:53
3
楼
0
感谢大牛关注 我也用xt看了 没有发现hook呀。。就他自身进程有几个钩子
秋水万穿
雪 币:
0
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
0
回帖
1
粉丝
0
关注
私信
秋水万穿
2016-5-18 11:58
4
楼
0
牛B 跟随大牛的脚步看一下
靴子
雪 币:
22
活跃值:
(423)
能力值:
( LV2,RANK:10 )
在线值:
发帖
20
回帖
524
粉丝
1
关注
私信
靴子
2016-5-18 20:18
5
楼
0
求关注 !
Anzun
雪 币:
5
活跃值:
(108)
能力值:
( LV2,RANK:10 )
在线值:
发帖
45
回帖
298
粉丝
1
关注
私信
Anzun
2016-5-18 23:41
6
楼
0
我也想知道。
靴子
雪 币:
22
活跃值:
(423)
能力值:
( LV2,RANK:10 )
在线值:
发帖
20
回帖
524
粉丝
1
关注
私信
靴子
2016-5-19 09:22
7
楼
0
大牛在哪里。。
靴子
雪 币:
22
活跃值:
(423)
能力值:
( LV2,RANK:10 )
在线值:
发帖
20
回帖
524
粉丝
1
关注
私信
靴子
2016-5-19 20:20
8
楼
0
下载了这么多次 怎么没人回复呀!!
goddkiller
雪 币:
485
活跃值:
(78)
能力值:
( LV4,RANK:40 )
在线值:
发帖
9
回帖
340
粉丝
1
关注
私信
goddkiller
2016-5-20 11:45
9
楼
0
这个程序加了TMD的壳。
程序做了两件事:
1.不断的去枚举当前的TCP连接的表,从这个表中获取到有SOCKET连接的进程PID,之后再通过PID获取这个PID的进程路径名。之后会去判断这个进程的全路径中是否包含Program Files或者Syswow64等目录名(这个还有其他的,具体我懒得解了,因为在调的时候不关注),如果是符合这些目录名的会进一步检测(这个也不重要)。同时它会比较当前的进程名是否是TeamViewer\Teamviewer.exe 或者 HELP.EXE ,同时会检测这两个进程的连接的端口是否为5938或者80,这两个进程应该是白名单里面可以连网的(具体我也没实验,不过从这个Z.EXE的文件属性描述来看是一个办公的解决方案应该可以推测是对的)。
2.如果不在白名单的进程,程序就修改IP路由表的默认网关IP,改完之后所有程序都不能联网了。
整个程序大概流程类似这样
while (1) {
do1();
do2();
};
这个可以通过运行该程序之后,打开CMD 输入route print来看程序执行的效果,还有再退出程序,对比看就很清楚了。
PS:为了调你这程序花了不少时间,这个KX币你看是不是???
至于那些HOOK,估计是后备方案。怎么触发走后备方案就不清楚了。
Anzun
雪 币:
5
活跃值:
(108)
能力值:
( LV2,RANK:10 )
在线值:
发帖
45
回帖
298
粉丝
1
关注
私信
Anzun
2016-5-20 15:17
10
楼
0
不是很明白。。。
有具体方案吗?
靴子
雪 币:
22
活跃值:
(423)
能力值:
( LV2,RANK:10 )
在线值:
发帖
20
回帖
524
粉丝
1
关注
私信
靴子
2016-5-20 15:22
11
楼
0
辛苦了 !!奖励都发给你了! 能把脱壳后的给我一份吗 感谢呀!
靴子
雪 币:
22
活跃值:
(423)
能力值:
( LV2,RANK:10 )
在线值:
发帖
20
回帖
524
粉丝
1
关注
私信
靴子
2016-5-20 15:30
12
楼
0
弱弱的问下 修改IP路由表的默认网关IP 是用的什么API呀
goddkiller
雪 币:
485
活跃值:
(78)
能力值:
( LV4,RANK:40 )
在线值:
发帖
9
回帖
340
粉丝
1
关注
私信
goddkiller
2016-5-20 19:01
13
楼
0
请参考这里面的例子,改下就行了
//关键点是这里新的网关,Z.EXE是用原网关的IP & 0x00FFFFFF
pRow->dwForwardNextHop = NewGateway;
https://msdn.microsoft.com/en-us/library/aa365860
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
靴子
20
发帖
524
回帖
10
RANK
关注
私信
他的文章
[求助]关于安卓下数据封包解密
2662
[求助]请教 DLL插入进程后 如何来读取堆内存?
2578
[求助]请教一下 DMP文件用什么工具调试呢
2731
[求助]加密算法 只有两行 谁能帮写下解密的 ~ 在线等哈~
3488
一个游戏开启3D 加速后 无法截图
3493
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
看原图
返回
顶部